Keamanan informasi dalam sistem e-commerce. “Keamanan perdagangan elektronik. Arah utama perlindungan informasi

Pendahuluan………………………………………………………………………..…3
1.Perdagangan elektronik dan sejarah perkembangannya…………………………….. ..5
1.1. Sejarah e-commerce…………………………………………………...6
2. Keamanan e-niaga………………………………………..8
2.1. Resiko dan Ancaman………………………………………………….…… ...11
Kesimpulan…………………………………………………………….17
Daftar referensi……………………………………………………………... 20

Perkenalan

Internet global telah membuat e-commerce dapat diakses oleh perusahaan-perusahaan dari berbagai ukuran. Jika sebelumnya penyelenggaraan pertukaran data elektronik memerlukan investasi yang signifikan dalam infrastruktur komunikasi dan hanya dapat dilakukan oleh perusahaan besar, maka penggunaan Internet saat ini memungkinkan perusahaan kecil untuk bergabung dengan barisan “pedagang elektronik”. Etalase elektronik di World Wide Web memberikan peluang bagi perusahaan mana pun untuk menarik pelanggan dari seluruh dunia. Bisnis online semacam itu membentuk saluran penjualan baru - “virtual”, yang hampir tidak memerlukan investasi material. Jika informasi, layanan atau produk (misalnya perangkat lunak) dapat disampaikan melalui Web, maka seluruh proses penjualan (termasuk pembayaran) dapat dilakukan secara online.
Definisi e-commerce tidak hanya mencakup sistem berorientasi Internet, tetapi juga “toko elektronik” yang menggunakan lingkungan komunikasi lain - BBS, VAN, dll. Pada saat yang sama, prosedur penjualan yang dimulai berdasarkan informasi dari WWW, tetapi menggunakan faks, telepon, dll. untuk pertukaran data, hanya dapat diklasifikasikan sebagian sebagai e-commerce. Kami juga mencatat bahwa, meskipun WWW adalah basis teknologi e-commerce, sejumlah sistem juga menggunakan kemampuan komunikasi lainnya. Dengan demikian, permintaan kepada penjual untuk memperjelas parameter produk atau melakukan pemesanan juga dapat dikirim melalui email.
Saat ini, alat pembayaran yang dominan untuk pembelian online adalah kartu kredit. Namun, instrumen pembayaran baru juga mulai bermunculan: kartu pintar, uang digital, pembayaran mikro, dan cek elektronik.
E-commerce tidak hanya mencakup transaksi online. Area yang dicakup oleh konsep ini juga harus mencakup kegiatan seperti melakukan riset pemasaran, mengidentifikasi peluang dan mitra, menjaga hubungan dengan pemasok dan konsumen, mengatur aliran dokumen, dll. Dengan demikian, e-commerce adalah konsep yang kompleks dan mencakup pertukaran data elektronik sebagai satu kesatuan. komponen.

E-commerce dan sejarah perkembangannya

E-commerce adalah suatu jenis kegiatan ekonomi untuk mempromosikan barang dan jasa dari produsen ke konsumen melalui jaringan komputer elektronik. Dengan kata lain, e-commerce adalah pemasaran, perolehan dan penjualan barang dan jasa melalui jaringan komputer, terutama Internet. E-commerce memberikan peluang baru untuk meningkatkan efisiensi kegiatan komersial secara umum.
Berbeda dengan perdagangan tradisional, e-commerce memberikan peluang berikut kepada perusahaan:
A) Jual produk Anda melalui Internet;
B) Mengembangkan dan mengoordinasikan hubungan dengan konsumen dan pemasok;
B) Pertukaran barang dan jasa secara elektronik;
D) Mengurangi harga pengiriman produk digital dan dukungan pelanggan purna jual;
D) Merespon dengan cepat terhadap perubahan pasar;
E) Mengurangi biaya overhead;
G) Meningkatkan layanan pelanggan dan memperkenalkan layanan Anda sendiri kepada pelanggan;
H) Memperluas lingkaran konsumen;
I) Mempertimbangkan kebutuhan individu pembeli;
E-commerce memungkinkan pembeli untuk:
A) Membeli barang kapan saja dan dimana saja;
B) Melakukan analisis perbandingan harga dan memilih yang terbaik;
C) Dapatkan akses simultan ke berbagai macam produk;
D) Pilih mekanisme yang nyaman untuk melakukan pembelian;
D) Menerima informasi dan berita tergantung pada preferensi Anda.
1.1 Sejarah e-niaga

Sistem e-commerce pertama kali muncul pada tahun 1960an di Amerika. Mereka digunakan di perusahaan transportasi untuk bertukar data antara berbagai layanan saat mempersiapkan penerbangan dan untuk memesan tiket.
Awalnya, perdagangan tersebut dilakukan dengan menggunakan jaringan di luar Internet, menggunakan standar khusus untuk pertukaran data elektronik antar organisasi.
Pada akhir tahun 1960an, terdapat empat standar industri di Amerika Serikat untuk pertukaran data antar berbagai perusahaan transportasi. Untuk menggabungkan standar-standar ini, Komite Harmonisasi Data Transportasi khusus dibentuk pada tahun 1968. hasil pekerjaan menjadi dasar standar EDI yang baru.
Pada tahun 1970-an, peristiwa serupa terjadi di Inggris. Di negeri ini, bidang utama penerapan EDI bukanlah transportasi, melainkan perdagangan. Rangkaian spesifikasi Tradacoms yang dipilih di sini telah diadopsi oleh Komisi Ekonomi PBB untuk Eropa sebagai standar pertukaran data di organisasi perdagangan internasional.
Pada tahun 1980an, pekerjaan mulai menggabungkan standar Eropa dan Amerika. Sebagai hasil dari upaya ini, sesi ke-42 Kelompok Kerja Fasilitasi Perdagangan Internasional pada bulan September 1996 mengadopsi Rekomendasi No. 25, “Penggunaan Standar PBB untuk Pertukaran Data Elektronik dalam Administrasi, Perdagangan dan Transportasi.”
Dengan demikian. Pada awal tahun 1990-an, standar EDI-FACT muncul dan diadopsi oleh ISO (ISO 9735).
Namun penggabungan terakhir standar Amerika dan Eropa tidak terjadi. Peluang baru yang lebih menjanjikan telah muncul untuk pertukaran data elektronik – pertukaran data melalui Internet.
Perkembangan Internet dengan biaya transmisi data yang rendah membuat modernisasi sistem EDI menjadi mendesak. Akibatnya, pada pertengahan 1990-an, standar lain dikembangkan - EDIFACT over Internet (EDIINT), yang menjelaskan cara mengirimkan transaksi EDI menggunakan protokol email aman SMTP/S-MIME.
Untuk kemunculan dan pertumbuhan popularitas e-commerce, terdapat sejumlah prasyarat demografis dan teknologi, seperti:
a) akses luas terhadap teknologi informasi, khususnya komputer dan Internet;
b) meningkatkan tingkat pendidikan masyarakat dan akibatnya lebih bebas dalam menangani teknologi;
c) kemajuan teknologi dan revolusi digital telah memungkinkan banyak perangkat digital untuk saling berinteraksi, seperti komputer, telepon genggam, dan lain-lain;
d) globalisasi, perekonomian terbuka, persaingan dalam skala global;
e) aksesibilitas e-commerce kepada siapa saja, kapan saja, dan di mana saja.
f) keinginan untuk menghemat waktu;
g) pertumbuhan jangkauan barang dan jasa, peningkatan permintaan barang dan jasa khusus.

Keamanan perdagangan elektronik.

Salah satu masalah utama e-commerce saat ini adalah masalah keamanan, yaitu masalah keamanan. meminimalkan risiko dan melindungi informasi.
Alasan terganggunya fungsi normal suatu perusahaan di Internet dapat berupa: virus komputer, penipuan yang mengakibatkan kerugian finansial; pencurian informasi rahasia; campur tangan ilegal dalam file dengan informasi rahasia tentang konsumen, dll.
Tingkat perlindungan situs web perusahaan elektronik bergantung pada tingkat kerahasiaan informasinya dan kebutuhan akan kepatuhannya. Jadi, misalnya, jika nomor kartu kredit dimasukkan di sebuah situs web, maka tingkat perlindungan tertinggi untuk server web perlu dipastikan.
Tugas menjaga keamanan dalam e-commerce adalah otentikasi pengguna, menjaga kerahasiaan dan integritas informasi: otentikasi - memeriksa keaslian pengguna; kerahasiaan – memastikan pelestarian informasi pribadi yang diberikan oleh pengguna; integritas informasi – tidak adanya distorsi dalam informasi yang dikirimkan.
Peretas dan virus dapat menimbulkan ancaman terhadap integritas informasi di server web.
Seorang peretas menembus komputer dan server yang dilindungi dengan lemah dan menginstal program khusus - program yang tidak terlihat, yang cukup sulit dideteksi. Biasanya, program tak kasat mata seperti itu tidak merusak situs web, namun menimbulkan kemacetan besar di jaringan. Peretas menentukan target serangannya dan mengaktifkan program yang sudah diinstal sebelumnya, mengirimkan perintah melalui Internet ke beberapa komputer. Hal ini memulai serangan yang membebani jaringan perusahaan komersial.
Jenis pelanggaran keamanan serius lainnya pada komputer dan server di Internet adalah virus. Virus melanggar integritas sistem dan menyesatkan langkah-langkah keamanan informasi. Cara terbaik untuk melindungi dari virus adalah dengan menginstal dan memperbarui program anti-virus secara berkala, serta menggunakan firewall. Firewall adalah filter yang dipasang antara jaringan perusahaan dan Internet untuk melindungi informasi dan file dari akses tidak sah dan untuk mengizinkan akses hanya kepada orang yang berwenang. Dengan demikian, firewall mencegah virus komputer dan peretas memasuki jaringan perusahaan dan melindunginya dari pengaruh eksternal saat terhubung ke Internet.
Saat menerapkan e-commerce, salah satu isu terpenting adalah kerahasiaan informasi. Informasi yang diberikan oleh pengguna kepada perusahaan harus dilindungi secara andal. Salah satu cara untuk memastikan transmisi data yang aman dan rahasia melalui jaringan komputer adalah kriptografi, yaitu. mengenkripsi atau menyandikan data sehingga hanya pihak-pihak yang terlibat dalam transaksi tertentu yang dapat membacanya.
Saat mengenkripsi, pengirim pesan mengubah teks menjadi sekumpulan karakter yang tidak dapat dibaca tanpa menggunakan kunci khusus yang diketahui penerima. Kunci sandi adalah urutan karakter yang disimpan di hard drive atau floppy disk komputer. Tingkat keamanan informasi bergantung pada algoritma enkripsi dan panjang kunci, diukur dalam bit.
Ada dua jenis algoritma enkripsi:

simetris, di mana kunci yang sama, diketahui kedua belah pihak, digunakan untuk enkripsi dan dekripsi informasi;
asimetris, di mana dua kunci digunakan, satu untuk enkripsi dan yang lainnya untuk dekripsi. Salah satu kunci ini bersifat pribadi (rahasia), yang kedua bersifat terbuka (publik).

Salah satu metode yang paling terkenal dan menjanjikan untuk mengautentikasi pengirim pesan adalah tanda tangan digital elektronik (EDS) - yang setara dengan tanda tangan tulisan tangan. Tanda tangan digital pertama diusulkan pada tahun 1976 oleh Whitfield Diffie dari Universitas Stanford. Undang-undang Federal Federasi Rusia “Tentang Tanda Tangan Digital Elektronik” menyatakan bahwa tanda tangan digital elektronik adalah persyaratan dokumen elektronik yang dimaksudkan untuk melindungi dokumen ini dari pemalsuan, yang diperoleh sebagai hasil transformasi kriptografi informasi menggunakan kunci pribadi suatu perangkat elektronik. tanda tangan digital dan memungkinkan untuk mengidentifikasi pemilik sertifikat kunci tanda tangan, serta menetapkan tidak adanya distorsi informasi dalam dokumen elektronik.
Proses penerapan tanda tangan digital elektronik adalah sebagai berikut:
1. pengirim membuat pesan dan mengenkripsinya dengan kunci pribadinya, yang sekaligus merupakan tanda tangan digital elektronik pengirim. Dalam hal ini, teks komunikasi itu sendiri dan tanda tangan digital yang dilampirkan di akhir dokumen dienkripsi.
2. pengirim mengirimkan surat terenkripsi dan kunci publiknya melalui saluran komunikasi kepada penerima;
3. Penerima mendekripsi pesan menggunakan kunci publik pengirim.
4. Bersamaan dengan tanda tangan digital, salah satu fungsi Hash yang ada biasanya digunakan. Fungsi HASH menghasilkan serangkaian karakter, yang disebut ringkasan pesan, saat memproses pesan. Pengirim membuat ringkasan pesan, mengenkripsinya dan juga meneruskannya ke penerima. Penerima memproses pesan dengan fungsi HASH yang sama dan juga menerima ringkasan pesan. Jika kedua ringkasan pesan cocok, maka pesan diterima tanpa kerusakan.
5. Sertifikat digital digunakan untuk mengonfirmasi kepemilikan kunci publik kepada orang atau perusahaan komersial tertentu. Sertifikat digital adalah dokumen yang dikeluarkan oleh otoritas sertifikasi untuk mengonfirmasi identitas orang atau perusahaan tertentu dengan memverifikasi nama dan kunci publiknya. Untuk mendapatkan sertifikat digital, Anda harus menghubungi pusat sertifikasi dan memberikan informasi yang diperlukan. Setiap otoritas sertifikat menetapkan harganya sendiri dan, sebagai suatu peraturan, menerbitkan sertifikat digital untuk satu tahun dengan kemungkinan perpanjangan setelah pembayaran untuk tahun berikutnya.
Untuk mengatasi masalah keamanan, perusahaan e-commerce menggunakan teknologi SSL dan SET.
Protokol SSL adalah protokol utama yang digunakan untuk melindungi data yang dikirimkan melalui Internet. Protokol ini didasarkan pada kombinasi algoritma enkripsi asimetris dan simetris. Ini menyediakan tiga fungsi utama: otentikasi server, otentikasi klien, dan koneksi terenkripsi SSL.
Protokol SET adalah protokol yang digunakan untuk transaksi antara bank komersial dan pelanggan kartu kredit.

Risiko dan ancaman

Bisnis apa pun dikaitkan dengan risiko yang timbul dari persaingan, pencurian, ketidakstabilan preferensi publik, bencana alam, dll. Namun risiko yang terkait dengan e-commerce memiliki karakteristik dan sumbernya masing-masing, antara lain:
Pencuri.
Ketidakmampuan untuk menarik teman.
Kegagalan peralatan.
Listrik, jalur komunikasi atau kegagalan jaringan.
Ketergantungan pada jasa pengiriman.
Persaingan ketat.
Kesalahan perangkat lunak.
Perubahan kebijakan dan perpajakan.
Kapasitas sistem terbatas.

Pencuri
Ancaman paling populer terhadap e-commerce datang dari peretas komputer. Perusahaan mana pun rentan terhadap ancaman serangan penjahat, dan perusahaan e-commerce besar menarik perhatian peretas komputer dengan berbagai tingkat keahlian.
Alasan perhatian ini bermacam-macam. Dalam beberapa kasus, ini hanyalah “ketertarikan olahraga murni”, dalam kasus lain keinginan untuk melakukan kejahatan, mencuri uang, atau membeli produk atau layanan secara gratis.
Keamanan situs dijamin melalui kombinasi langkah-langkah berikut:
Cadangkan informasi penting.
Kebijakan personalia yang memungkinkan Anda untuk menarik hanya orang-orang yang teliti untuk bekerja dan mendorong ketelitian staf. Upaya peretasan paling berbahaya datang dari dalam perusahaan.
Menggunakan perangkat lunak dengan kemampuan perlindungan data dan memperbaruinya tepat waktu.
Melatih personel untuk mengidentifikasi target dan mengenali kelemahan sistem.
Audit dan logging untuk mendeteksi upaya peretasan yang berhasil dan tidak berhasil.
Biasanya, peretasan berhasil karena kata sandi yang mudah ditebak, kesalahan konfigurasi umum, dan kegagalan memperbarui versi perangkat lunak secara tepat waktu. Untuk melindungi diri Anda dari pencuri yang tidak terlalu canggih, cukup dengan mengambil tindakan yang relatif sederhana. Sebagai upaya terakhir, harus selalu ada salinan cadangan data penting.

Ketidakmampuan untuk menarik teman
Meskipun serangan hacker merupakan kekhawatiran terbesar, sebagian besar kegagalan e-commerce masih disebabkan oleh faktor ekonomi tradisional. Membuat dan memasarkan situs e-commerce besar membutuhkan banyak uang. Perusahaan lebih memilih investasi jangka pendek, yang menawarkan pertumbuhan pelanggan dan pendapatan segera setelah merek didirikan di pasar.
Runtuhnya e-commerce menyebabkan kehancuran banyak perusahaan yang hanya mengkhususkan diri pada bidang tersebut.

Kegagalan peralatan
Jelas sekali bahwa kegagalan suatu bagian penting pada salah satu komputer suatu perusahaan yang aktivitasnya terfokus pada Internet dapat menyebabkan kerusakan yang cukup parah.
Perlindungan terhadap downtime untuk situs yang beroperasi di bawah beban tinggi atau menjalankan fungsi penting disediakan melalui duplikasi, sehingga kegagalan komponen apa pun tidak mempengaruhi fungsionalitas keseluruhan sistem. Namun, di sini juga perlu untuk mengevaluasi kerugian akibat kemungkinan downtime dibandingkan dengan biaya pembelian peralatan tambahan.
Banyak komputer yang menjalankan Apache, PHP, dan MySQL relatif mudah diatur. Selain itu, mesin replikasi MySQL memungkinkan sinkronisasi umum informasi di seluruh database. Namun, jumlah komputer yang banyak juga berarti tingginya biaya pemeliharaan peralatan, infrastruktur jaringan, dan hosting.
Kegagalan listrik, jalur komunikasi, jaringan dan layanan pengiriman
Ketergantungan internet berarti ketergantungan pada banyak penyedia layanan yang saling terhubung, jadi jika koneksi dengan seluruh dunia tiba-tiba terputus, tidak ada yang bisa dilakukan selain menunggu hingga koneksi pulih. Hal serupa juga berlaku pada pemadaman listrik dan mogok kerja atau pemadaman listrik dan mogok kerja lainnya atau gangguan lainnya terhadap perusahaan pengiriman.
Jika Anda memiliki anggaran yang cukup, Anda bisa berhubungan dengan beberapa penyedia layanan. Hal ini memerlukan biaya tambahan, namun memastikan pengoperasian tidak terganggu jika terjadi kegagalan salah satunya. Pemadaman listrik yang ekstrim dapat dilindungi dengan memasang pasokan listrik yang tidak pernah terputus.

Persaingan ketat
Jika Anda membuka kios di jalan, menilai lingkungan persaingan tidak terlalu sulit - pesaingnya adalah setiap orang yang menjual produk yang sama. Dalam kasus e-commerce, situasinya agak lebih rumit.
Tergantung pada biaya pengiriman, fluktuasi mata uang, dan perbedaan biaya tenaga kerja, pesaing dapat berlokasi di mana saja. Internet adalah lingkungan yang sangat kompetitif dan berkembang pesat. Di sektor bisnis populer, pesaing baru bermunculan hampir setiap hari.
Risiko persaingan usaha sulit untuk dinilai. Di sini strategi yang paling tepat adalah mendukung tingkat teknologi saat ini.

Kesalahan perangkat lunak
Ketika sebuah bisnis bergantung pada perangkat lunak, ia rentan terhadap bug dalam perangkat lunak tersebut.

Kemungkinan kegagalan kritis dapat diminimalkan dengan menginstal perangkat lunak yang andal, melakukan pengujian setelah setiap penggantian perangkat keras yang rusak, dan menerapkan prosedur pengujian formal. Sangat penting untuk menyertai setiap inovasi pada sistem dengan pengujian menyeluruh.
Untuk mengurangi kerusakan yang disebabkan oleh kegagalan perangkat lunak, Anda harus segera mencadangkan semua data. Saat melakukan perubahan apa pun, Anda harus menyimpan konfigurasi program sebelumnya. Untuk mendeteksi kemungkinan malfungsi dengan cepat, diperlukan pemantauan sistem secara konstan.

Perubahan kebijakan perpajakan
Di banyak negara, aktivitas e-bisnis tidak didefinisikan atau tidak cukup didefinisikan oleh undang-undang. Namun, situasi ini tidak dapat berlangsung selamanya, dan penyelesaian masalah ini akan menimbulkan sejumlah masalah yang dapat mengakibatkan penutupan beberapa perusahaan. Selain itu, selalu ada bahaya pajak yang lebih tinggi.
Masalah-masalah ini tidak dapat dihindari. Dalam situasi ini, satu-satunya tindakan yang masuk akal adalah memantau situasi secara hati-hati dan menjadikan kegiatan perusahaan sesuai dengan hukum. Kemungkinan melakukan lobi untuk kepentingan Anda sendiri juga harus dijajaki.

Kapasitas sistem terbatas
Pada tahap desain sistem, Anda harus mempertimbangkan kemungkinan pertumbuhannya. Keberhasilan terkait erat dengan beban, sehingga sistem harus memungkinkan perluasan peralatan.
Peningkatan kinerja yang terbatas dapat dicapai dengan mengganti perangkat keras, namun kecepatan komputer paling canggih sekalipun memiliki batas, sehingga perangkat lunak harus menyediakan kemampuan untuk mendistribusikan beban ke beberapa sistem ketika batas yang ditentukan tercapai. Misalnya, sistem manajemen basis data harus mampu memproses permintaan dari beberapa mesin secara bersamaan.
Perluasan sistem bukannya tidak menimbulkan rasa sakit, tetapi perencanaan yang tepat waktu pada tahap pengembangan memungkinkan Anda memperkirakan banyak masalah yang terkait dengan peningkatan jumlah klien dan mencegahnya terlebih dahulu.

Kesimpulan
Meskipun terhubung ke Internet memberikan manfaat yang sangat besar karena akses ke sejumlah besar informasi, hal ini juga berbahaya bagi situs dengan tingkat keamanan rendah. Internet mempunyai masalah keamanan serius yang, jika diabaikan, dapat menimbulkan bencana bagi situs yang tidak siap. Kesalahan dalam desain TCP/IP, kompleksitas administrasi host, kerentanan dalam program, dan sejumlah faktor lainnya menjadikan situs yang tidak dilindungi rentan terhadap tindakan penyerang.
Organisasi harus menjawab pertanyaan-pertanyaan berikut untuk mempertimbangkan dengan tepat implikasi keamanan konektivitas Internet:
Bisakah peretas menghancurkan sistem internal?
Bisakah informasi penting suatu organisasi dikompromikan (dimodifikasi atau dibaca) saat dikirimkan melalui Internet?
Apakah mungkin mengganggu kerja organisasi?
Ini semua adalah pertanyaan penting. Ada banyak solusi teknis untuk mengatasi masalah utama keamanan Internet. Namun, semuanya ada harganya. Banyak solusi membatasi fungsionalitas untuk meningkatkan keamanan. Lainnya memerlukan kompromi yang signifikan terkait kemudahan penggunaan Internet. Yang lain lagi memerlukan investasi sumber daya yang besar – waktu kerja untuk melaksanakan dan memelihara keamanan dan uang untuk membeli dan memelihara peralatan dan program.
Tujuan dari kebijakan keamanan Internet adalah untuk memutuskan bagaimana suatu organisasi akan melindungi dirinya sendiri. Suatu kebijakan biasanya terdiri dari dua bagian - prinsip umum dan aturan operasional khusus (yang setara dengan kebijakan khusus yang dijelaskan di bawah). Prinsip umum memandu pendekatan terhadap keamanan Internet. Aturan menentukan apa yang diperbolehkan dan apa yang dilarang. Aturan tersebut dapat dilengkapi dengan prosedur khusus dan berbagai pedoman.
Memang benar ada jenis kebijakan ketiga yang muncul dalam literatur keamanan Internet. Ini adalah pendekatan teknis. Dalam publikasi ini, pendekatan teknis akan dipahami sebagai analisis yang membantu penerapan prinsip dan aturan kebijakan. Hal ini umumnya terlalu teknis dan rumit untuk dipahami oleh manajemen organisasi. Oleh karena itu, hal ini tidak dapat digunakan seluas-luasnya sebagai kebijakan. Namun, hal ini sangat diperlukan ketika menjelaskan kemungkinan solusi, mengidentifikasi trade-off yang merupakan elemen penting dalam menggambarkan kebijakan.
Agar kebijakan Internet menjadi efektif, pembuat kebijakan harus memahami konsekuensi yang harus mereka ambil. Kebijakan ini juga tidak boleh bertentangan dengan dokumen lain yang mengatur organisasi. Publikasi ini berupaya memberikan informasi yang dibutuhkan para profesional teknis untuk dijelaskan kepada pembuat kebijakan Internet. Ini berisi rancangan awal kebijakan, yang menjadi dasar pengambilan keputusan teknis tertentu.
Internet adalah sumber daya penting yang telah mengubah cara banyak orang dan organisasi beroperasi. Namun, Internet mengalami masalah keamanan yang serius dan meluas. Banyak organisasi telah diserang atau diselidiki oleh penyerang, menyebabkan mereka menderita kerugian finansial yang besar dan kehilangan prestise. Dalam beberapa kasus, organisasi terpaksa memutuskan sambungan sementara dari Internet dan menghabiskan banyak sumber daya untuk memecahkan masalah konfigurasi host dan jaringan. Situs yang tidak menyadari atau mengabaikan masalah ini menempatkan dirinya pada risiko serangan online oleh pelaku kejahatan. Bahkan situs-situs yang telah menerapkan langkah-langkah keamanan pun menghadapi bahaya yang sama karena munculnya kerentanan baru dalam program jaringan dan masih adanya beberapa penyerang.
Masalah mendasarnya adalah Internet tidak dirancang untuk menjadi jaringan yang aman. Beberapa masalah pada versi TCP/IP saat ini adalah:
Kemudahan mencegat data dan memalsukan alamat mesin di jaringan - sebagian besar lalu lintas Internet adalah data yang tidak terenkripsi. Email, kata sandi, dan file dapat disadap menggunakan program yang mudah diakses.
Kerentanan alat TCP/IP - sejumlah alat TCP/IP tidak dirancang untuk aman dan dapat disusupi oleh penyerang yang terampil; alat yang digunakan untuk pengujian sangat rentan.
Kurangnya kebijakan - banyak situs secara tidak sadar dikonfigurasi sedemikian rupa sehingga menyediakan akses luas dari Internet, tanpa memperhitungkan kemungkinan penyalahgunaan akses ini; Banyak situs mengizinkan lebih banyak layanan TCP/IP daripada yang diperlukan untuk beroperasi dan tidak berupaya membatasi akses ke informasi tentang komputer mereka yang dapat membantu penyerang.
Sulit dikonfigurasi—kontrol akses host rumit; Seringkali sulit untuk mengkonfigurasi dan memverifikasi efektivitas instalasi dengan benar. Alat yang dikonfigurasi secara tidak benar dapat mengakibatkan akses yang tidak sah.

Daftar literatur bekas
1. Bahan dari server teknologi informasi - http://www. citforum.ru
2. Apa itu e-niaga? V. Zavaleev, Pusat Teknologi Informasi. http://www.citforum.ru/marketing/articles/art_1.shtml
3.http://www.proms.ru/book-wicommerce_theory.html
4. Kantarovich A.A., Tsarev V.V. Buku teks untuk universitas: Electronic commerce 2002, 320 Halaman.

| Ke daftar publikasi

Memastikan keamanan informasi perusahaan perdagangan, jaringan ritel dan infrastrukturnya

Tren perkembangan perdagangan di Rusia saat ini mengarah pada konsolidasi perusahaan dengan meningkatkan jumlah perusahaan dalam komposisinya, mengkonsolidasikan aset berbagai operator, melakukan merger dan akuisisi, dan menciptakan pusat distribusi jaringan. Akibatnya, kebutuhan akan teknologi informasi dan pentingnya teknologi informasi dalam mengatur perdagangan semakin meningkat. Pengolahan arus informasi di perusahaan mana pun memerlukan kecepatan tinggi dan ketelitian mutlak.

Gambar.1. Arus informasi utama beredar dalam sistem manajemen suatu perusahaan jaringan

Mengelola toko modern, perusahaan perdagangan grosir dan jaringan distribusi melibatkan penggunaan sistem otomatis untuk perdagangan, gudang, dan akuntansi yang terintegrasi. Saat ini, manajer membuat keputusan manajemen berdasarkan data yang diperoleh dari sistem informasi. Jadi, apapun struktur perusahaannya, akuntansi kontrak, pergerakan persediaan, kas dan akuntansi harus dilakukan dalam satu ruang informasi.

Untuk mengotomatiskan pengelolaan proses perdagangan, sistem informasi dibuat di perusahaan, yang dapat mencakup:

- sistem akuntansi dan pelaporan internal (berisi data tentang volume, struktur dan kecepatan produksi dan peredaran komoditas, biaya dan kerugian perusahaan, pendapatan kotor, laba bersih, profitabilitas, dll.);
- sistem informasi pemasaran (memungkinkan Anda melacak keadaan saat ini, tren dan prospek perkembangan pasar). Sistem informasi ini juga dapat diartikan sebagai sistem intelijen, karena ini memastikan pengumpulan, pemrosesan, dan analisis data tentang aktivitas pesaing.

Data yang masuk ke dalam sistem informasi berasal dari personel perusahaan dan dari sistem kantor distributor. Di masa depan, mereka digunakan untuk manajemen operasional perusahaan, pengendalian dan analisis aktivitas perusahaan secara keseluruhan, kantor regional dan distributor. Konsumen data jaringan informasi adalah manajer dan eksekutif perusahaan dan perusahaan distributor. Gambar 1 dan 2 menunjukkan arus informasi utama yang beredar dalam sistem pengelolaan suatu perusahaan perdagangan (jaringan perdagangan), menunjukkan sumber utama dan konsumennya.

Untuk membuat keputusan manajemen strategis, kepala perusahaan, direktur keuangan, kepala akuntan, dan manajer senior harus menyajikan gambaran lengkap tentang keadaan perusahaan dan tren perkembangannya (Gbr. 1.).

Di tempat kerja mereka di departemen akuntansi, di lantai penjualan, di gudang, pekerja hanya menangani bagian-bagian tertentu dari arus informasi umum. Tugas dan fungsinya biasanya berkisar pada pemrosesan dan pencatatan penerimaan dan konsumsi barang, penerbitan faktur, pengerjaan mesin kasir, dll. (Gbr. 2.).

Mempertimbangkan risiko perusahaan perdagangan dan kerentanan sistem informasi, tampaknya tidak bertanggung jawab untuk mengambil pendekatan di mana perusahaan bereaksi terhadap kejadian demi kejadian, yaitu: setelah itu terjadi. Oleh karena itu, perusahaan harus menciptakan sistem keamanan informasi. Ini adalah salah satu elemen utama dari sistem kendali.

Menghentikan pengoperasian sistem informasi dapat menyebabkan konsekuensi yang tidak dapat diubah bagi bisnis. Jadi, menurut perusahaan asuransi Gerling, jika sistem informasi dihentikan total, perusahaan dagang hanya bisa eksis selama 2,5 hari, dan untuk perusahaan manufaktur tanpa siklus produksi berkelanjutan, angka ini adalah 5 hari.

Data awal untuk menciptakan sistem keamanan informasi yang efektif harus berupa gagasan yang jelas tentang tujuan dan strukturnya, jenis ancaman dan sumbernya, serta kemungkinan tindakan penanggulangannya.

Sumber ancaman dapat berasal dari eksternal dan internal.

Gambar.2. Sistem pertukaran data untuk karyawan dari berbagai departemen di perusahaan ritel atau rantai ritel

Ancaman eksternal paling sering datang dari pesaing, kelompok kriminal, dan pejabat korup dalam otoritas hukum dan administratif. Tindakan ancaman eksternal dapat ditujukan pada media penyimpanan yang pasif, menghilangkan informasi selama proses pertukaran, menghancurkan informasi atau merusak media penyimpanannya. Ancaman dapat ditujukan kepada personel perusahaan dan dinyatakan dalam bentuk suap, ancaman, pemerasan, membongkar informasi untuk mendapatkan informasi yang merupakan rahasia dagang, atau melibatkan pemikat spesialis terkemuka, dll.

Ancaman dari dalam menimbulkan bahaya terbesar. Mereka bisa berasal dari manajer yang tidak kompeten, personel yang tidak bermoral dan tidak terampil, penggelapan dan penipu, serta alat produksi yang sudah ketinggalan zaman. Individu karyawan dengan tingkat harga diri yang tinggi, karena ketidakpuasan terhadap ambisinya (tingkat gaji, hubungan dengan manajemen, rekan kerja, dll), mungkin secara proaktif memberikan informasi komersial kepada pesaing, mencoba menghancurkan informasi penting atau media pasif, misalnya misalnya, memperkenalkan virus komputer.

Kerusakan sumber informasi dapat disebabkan oleh:

penerapan akses tidak sah dan penghapusan informasi rahasia;
penyuapan terhadap karyawan untuk mendapatkan akses terhadap informasi atau sistem informasi rahasia;
dengan menyadap informasi yang beredar di fasilitas dan sistem komunikasi dan komputer dengan menggunakan sarana teknis pengintaian dan pengumpulan informasi;
dengan menguping percakapan rahasia yang terjadi di gedung kantor, kendaraan dinas dan pribadi, di apartemen dan dacha;
melalui proses negosiasi, menggunakan penanganan informasi yang ceroboh;

Sumber informasi utama adalah: orang, dokumen, publikasi, media teknis, sarana teknis, produk dan limbah.

Cara utama untuk mendapatkan informasi yang tidak sah adalah:

- pengungkapan informasi rahasia;
- akses tidak sah ke sumber informasi;
- kebocoran informasi rahasia karena kesalahan karyawan perusahaan.

Relevansi masalah pengambilan tindakan untuk menjamin keamanan informasi dapat diilustrasikan dengan contoh berikut:

1. Layanan keamanan operator federal mendeteksi dua hingga enam insiden terkait pelanggaran keamanan informasi setiap bulan.
2. Di sebuah hypermarket, seorang gadis muda “diberi pencerahan” tentang kekurangan program untuk memasangkan terminal kasir melalui jaringan lokal. Akibat penipuan tersebut, wanita tersebut “mendapatkan” 900.000 rubel dalam tiga bulan.
3. Seorang kasir muda membuat perubahan pada program kas dan dalam sebulan menyebabkan kerusakan pada perusahaan sejumlah sekitar 200.000 rubel. Administrator sistem menemukan fakta akses tidak sah hanya selama penyelidikan dua bulan setelah kasir dipecat.

Oleh karena itu, para pemimpin bisnis harus memahami pentingnya keamanan informasi dan belajar mengantisipasi serta mengelola tren masa depan. Pengoperasian sistem keamanan yang efektif harus menjadi prioritas utama bagi seluruh perusahaan.

Bidang utama perlindungan informasi:

- perlindungan hukum meliputi: Perundang-undangan Federasi Rusia, dokumen peraturannya sendiri, termasuk: peraturan tentang pelestarian informasi rahasia, daftar informasi yang merupakan rahasia dagang, instruksi tentang prosedur untuk mengakses informasi rahasia kepada karyawan, peraturan tentang pekerjaan kantor dan alur dokumen, kewajiban karyawan untuk tidak mengungkapkan informasi rahasia, memo karyawan tentang menjaga rahasia dagang, dll.;
- perlindungan organisasi mencakup tindakan rezim-administrasi dan organisasi. Ini termasuk: organisasi layanan keamanan, organisasi intra-fasilitas dan kontrol akses, organisasi kerja dengan karyawan dalam menjaga kerahasiaan informasi yang merupakan rahasia komersial dan resmi, organisasi kerja dengan dokumen, organisasi kerja pada analisis eksternal dan ancaman internal, dll.
- perlindungan rekayasa dan teknis – melibatkan penggunaan berbagai alat teknis, elektronik, dan perangkat lunak yang dirancang untuk melindungi informasi.

Implementasi program keamanan informasi harus dilakukan berdasarkan penggunaan sistem dan alat keamanan yang terintegrasi berdasarkan premis bahwa tidak mungkin untuk memastikan tingkat keamanan yang diperlukan hanya dengan menggunakan satu alat atau tindakan terpisah, atau kombinasi sederhana. dari mereka. Koordinasi sistemik mereka diperlukan. Dalam hal ini, penerapan ancaman apa pun dapat mempengaruhi objek yang dilindungi hanya jika semua tingkat perlindungan diatasi.

Keamanan sistem e-commerce secara keseluruhan terletak pada perlindungan dari berbagai jenis gangguan pada datanya. Semua intervensi ini dapat dibagi menjadi beberapa kategori:

· pencurian data (misalnya pencurian nomor kartu kredit dari database);

· gangguan (misalnya, kelebihan data pada situs yang tidak dimaksudkan untuk menampung informasi dalam jumlah besar);

· distorsi data (misalnya, mengubah jumlah dalam file pembayaran dan faktur atau membuat sertifikat atau situs yang tidak ada untuk memompa informasi ke situs tertentu);

· penghancuran data (misalnya, selama transmisi dari situs atau ke situs dari pengguna);

· penolakan atas tindakan yang diambil (misalnya, fakta melakukan pemesanan atau menerima barang);

· penyalahgunaan fasilitas situs secara tidak sengaja oleh pengguna yang bonafid;

· akses tidak sah ke informasi:

· penyalinan, pembaruan, atau penggunaan data lainnya tanpa izin;

· transaksi yang tidak sah;

· Melihat atau mengirimkan data secara tidak sah (misalnya, menampilkan nama asli pengunjung dan bukan nama panggilan di ruang obrolan atau forum).

Pada saat yang sama, kita harus memperhitungkan bahwa dalam masalah keamanan di bidang ini terdapat sejumlah masalah obyektif yang bersifat hukum - teknologi berkembang jauh lebih cepat daripada kerangka legislatif, sulit untuk menangkap penyerang. perbuatan suatu kejahatan, dan barang bukti serta jejak kejahatan dapat dengan mudah dimusnahkan tanpa bekas. Semua ini mengharuskan perusahaan untuk secara hati-hati mengembangkan kebijakan untuk melindungi bisnis elektronik mereka. Keamanan yang lengkap dan mutlak tidak dapat dicapai karena sistem e-bisnis dibangun di atas beragam aplikasi perangkat lunak siap pakai dan khusus dari berbagai vendor dan sejumlah besar layanan eksternal yang disediakan oleh penyedia layanan atau mitra bisnis. Sebagian besar komponen dan layanan ini biasanya tidak jelas bagi spesialis TI perusahaan pelanggan; selain itu, banyak di antaranya sering dimodifikasi dan ditingkatkan oleh pembuatnya. Tidak mungkin untuk memeriksa secara menyeluruh semua potensi kerusakan keamanan ini, dan bahkan lebih sulit lagi untuk menghilangkan semua cacat ini. Dan bahkan jika hal ini mungkin terjadi, apa yang disebut faktor manusia tidak dapat dikesampingkan, karena semua sistem dibuat, diubah, dan dikelola oleh manusia, dan menurut penelitian yang dilakukan oleh Computer Security Institute, 81% responden mencatat bahwa kekhawatiran terbesar bagi perusahaan adalah adalah ancaman internal - tindakan yang disengaja atau tidak disengaja dari karyawannya sendiri.

Ada dua aspek dalam masalah perlindungan terhadap ancaman internal: teknis dan organisasi. Aspek teknisnya adalah keinginan untuk menghilangkan segala kemungkinan akses tidak sah terhadap informasi. Untuk tujuan ini, cara-cara terkenal seperti:

menjaga kata sandi dan mengubahnya secara berkala; memberikan hak minimum yang diperlukan untuk mengelola sistem;

Ketersediaan prosedur standar untuk perubahan grup akses secara tepat waktu selama pergantian personel atau penghancuran akses segera setelah pemecatan seorang karyawan.

Aspek organisasi adalah pengembangan kebijakan keamanan internal yang rasional, yang berubah menjadi operasi rutin metode yang jarang digunakan untuk melindungi dan mencegah serangan hacker oleh perusahaan seperti:

· pengenalan budaya keselamatan umum di perusahaan;

· pengujian perangkat lunak untuk peretasan;

· melacak setiap upaya peretasan (tidak peduli seberapa suksesnya) dan menyelidikinya secara menyeluruh;

· pelatihan tahunan bagi staf mengenai masalah keamanan dan kejahatan dunia maya, termasuk informasi tentang tanda-tanda spesifik serangan peretas, untuk memaksimalkan jumlah karyawan yang memiliki kemampuan mendeteksi aktivitas tersebut;

· Pengenalan prosedur yang jelas untuk menangani kasus-kasus perubahan atau perusakan informasi yang tidak disengaja.

Untuk melindungi dari intrusi eksternal, saat ini terdapat banyak sistem yang pada dasarnya merupakan berbagai jenis filter yang membantu mengidentifikasi upaya peretasan pada tahap awal dan, jika mungkin, mencegah penyerang memasuki sistem melalui jaringan eksternal.

· router - perangkat manajemen lalu lintas jaringan yang terletak di antara jaringan orde kedua dan mengelola lalu lintas masuk dan keluar dari segmen jaringan yang terhubung dengannya;

· firewall - cara mengisolasi jaringan pribadi dari jaringan publik menggunakan perangkat lunak yang memantau dan menekan serangan eksternal pada situs menggunakan kontrol tertentu atas jenis permintaan;

gateway aplikasi adalah sarana yang digunakan administrator jaringan untuk menerapkan kebijakan keamanan yang memandu router yang melakukan pemfilteran paket;

· Intrusion Detection Systems (IDS) - sistem yang mendeteksi serangan yang disengaja dan penyalahgunaan sumber daya sistem yang tidak disengaja oleh pengguna;

· alat penilaian keamanan (pemindai khusus, dll.) - program yang secara teratur memindai jaringan untuk mencari masalah dan menguji efektivitas kebijakan keamanan yang diterapkan.

Secara umum, hal pertama yang harus dilakukan perusahaan adalah mencari tahu apa yang harus dilindungi dan dari siapa. Pelaku utama di bidang ini adalah pemegang saham perusahaan, konsumen, karyawan dan mitra bisnis, dan masing-masing dari mereka perlu mengembangkan skema perlindungannya sendiri. Seluruh persyaratan keamanan harus didokumentasikan untuk menjadi panduan bagi semua implementasi aplikasi e-commerce dan langkah-langkah keamanannya di berbagai lini bisnis perusahaan. Selain itu, hal ini akan memungkinkan Anda membuat anggaran terpisah untuk menangani masalah keamanan dalam perusahaan dan mengoptimalkan biaya untuk kebutuhan ini, sehingga menghilangkan duplikasi masalah keamanan apa pun saat mengembangkan setiap proyek bisnis individual.

Sayangnya, praktik saat ini sedemikian rupa sehingga kebijakan keamanan diserahkan kepada manajemen departemen TI, yang karyawannya percaya bahwa masalah teknologi lebih penting daripada instruksi “kertas”, dan, terlebih lagi, bukan spesialis di bidang bisnis tertentu. yang juga memerlukan prosedur perlindungan yang jelas di dalam perusahaan.

Selain itu, saat memasangkan perangkat lunak yang berbeda, mungkin timbul masalah khusus yang tidak diketahui oleh produsen masing-masing produk terintegrasi. Penelitian terhadap interaksi semacam ini harus mendahului keputusan teknologi dan anggaran apa pun. Dan sejauh ini terlalu sedikit perhatian yang diberikan terhadap hal ini.

Ada beberapa jenis ancaman e-commerce:

Penetrasi ke dalam sistem dari luar.

Akses tidak sah dalam perusahaan.

Intersepsi dan pembacaan informasi yang disengaja.

Gangguan yang disengaja terhadap data atau jaringan.

Identifikasi pengguna yang salah (untuk tujuan penipuan).

Meretas perlindungan perangkat keras dan perangkat lunak.

Akses pengguna tidak sah dari satu jaringan ke jaringan lainnya.

Serangan virus.

Kegagalan layanan.

Penipuan keuangan.

Untuk mengatasi ancaman tersebut, digunakan beberapa metode berbasis berbagai teknologi, yaitu: enkripsi - pengkodean data yang mencegahnya dibaca atau terdistorsi; tanda tangan digital yang memverifikasi identitas pengirim dan penerima; teknologi siluman menggunakan kunci elektronik; firewall; jaringan virtual dan pribadi.

Tidak ada metode perlindungan yang bersifat universal; misalnya, firewall tidak memeriksa virus dan tidak dapat memastikan integritas data. Tidak ada cara yang benar-benar mudah untuk melawan peretasan perlindungan otomatis, dan hanya masalah waktu saja sebelum perlindungan tersebut diretas. Namun waktu yang diperlukan untuk merusak perlindungan tersebut, pada gilirannya, bergantung pada kualitasnya. Harus dikatakan bahwa perangkat lunak dan perangkat keras untuk melindungi koneksi dan aplikasi di Internet telah dikembangkan sejak lama, meskipun teknologi baru yang diperkenalkan agak tidak merata.

Ancaman apa yang menanti perusahaan yang menjalankan e-commerce di setiap tahap:

Pergantian halaman web server toko elektronik (pengalihan permintaan ke server lain), membuat informasi tentang klien, terutama tentang kartu kreditnya, tersedia untuk pihak ketiga;

Pembuatan perintah palsu dan berbagai bentuk penipuan oleh karyawan toko elektronik, misalnya manipulasi database (statistik menunjukkan bahwa lebih dari separuh insiden komputer terkait dengan aktivitas karyawan mereka sendiri);

Intersepsi data yang dikirimkan melalui jaringan e-commerce;

Penetrasi penyerang ke dalam jaringan internal perusahaan dan penyusupan komponen toko elektronik;

Implementasi serangan penolakan layanan dan gangguan fungsi atau penonaktifan node e-commerce.

Akibat penerapan ancaman tersebut, perusahaan kehilangan kepercayaan pelanggan, kehilangan uang dari potensi dan/atau transaksi yang tidak sempurna, aktivitas toko elektronik terganggu, dan menghabiskan waktu, uang, dan sumber daya manusia untuk memulihkan fungsinya.

Tentu saja, ancaman yang terkait dengan penyadapan informasi yang dikirimkan melalui Internet tidak terbatas pada sektor e-commerce. Yang paling penting sehubungan dengan yang terakhir adalah kenyataan bahwa sistemnya berisi informasi yang sangat penting secara ekonomi: nomor kartu kredit, nomor rekening, isi kontrak, dll.

1. Mengamankan e-niaga

Memastikan keamanan bukan hanya syarat yang diperlukan untuk keberhasilan bisnis elektronik, tetapi juga landasan untuk hubungan saling percaya antar pihak lawan. Inti dari e-bisnis melibatkan pertukaran informasi dan transaksi aktif melalui jaringan publik yang tidak terlindungi, yang tidak mungkin terjadi tanpa hubungan saling percaya antar entitas bisnis. Oleh karena itu, penyediaan keamanan sangatlah kompleks, termasuk tugas-tugas seperti akses ke server Web dan aplikasi Web, otentikasi dan otorisasi pengguna, memastikan integritas dan kerahasiaan data, penerapan tanda tangan digital elektronik, dll.

Dengan meningkatnya komersialisasi Internet, semakin banyak perhatian diberikan pada perlindungan informasi yang dikirimkan melalui jaringan. Protokol khusus yang dirancang untuk mengatur interaksi aman melalui Internet (misalnya, SET, SOCKS5, SSL, SHTTP, dll.) telah mendapat pengakuan luas di seluruh dunia dan berhasil digunakan oleh pengembang asing untuk menciptakan sistem elektronik perbankan dan perdagangan berbasis Internet.

Di luar negeri, masalah keamanan informasi bisnis elektronik ditangani oleh konsorsium independen - Satuan Tugas Keamanan Internet (ISTF) - sebuah organisasi publik yang terdiri dari perwakilan dan pakar perusahaan yang memasok alat keamanan informasi, bisnis elektronik, dan layanan Internet. penyedia.

ISTF mengidentifikasi dua belas bidang keamanan informasi yang harus menjadi fokus perhatian utama. penyelenggara e-bisnis:

Mekanisme konfirmasi obyektif atas informasi identitas;

Hak atas informasi pribadi dan pribadi;

Definisi peristiwa keamanan;

Perlindungan perimeter perusahaan;

Definisi serangan;

Pengendalian konten yang berpotensi berbahaya;

Kontrol akses;

Administrasi;

Reaksi terhadap peristiwa.

Diketahui bahwa penggunaan algoritme tanda tangan digital elektronik (EDS) memungkinkan perlindungan yang andal terhadap banyak ancaman, tetapi ini hanya benar jika algoritme ini dijalin ke dalam protokol interaksi yang beralasan, struktur hubungan yang benar secara hukum, dan tertutup secara logis. sistem kepercayaan.

Keamanan informasi didasarkan pada logika sederhana dari proses penghitungan tanda tangan digital dan memverifikasinya dengan sepasang kunci yang sesuai, namun logika tersebut didasarkan pada penelitian matematika mendasar. Hanya pemilik kunci privat yang dapat menghitung tanda tangan digital, dan siapa pun yang memiliki kunci publik yang sesuai dengan kunci privat tersebut dapat memverifikasinya.

Tentu saja, para ahli di bidang ini harus dilibatkan dalam memastikan keamanan informasi, namun kepala badan pemerintah, perusahaan dan lembaga, apapun bentuk kepemilikannya, yang bertanggung jawab atas keamanan ekonomi entitas ekonomi tertentu, harus selalu menjaga isu-isu ini. bidang pandang mereka. Bagi mereka, di bawah ini adalah komponen fungsional utama pengorganisasian sistem keamanan informasi yang komprehensif:

Protokol komunikasi;

Alat kriptografi;

Alat kontrol akses untuk stasiun kerja dari jaringan publik;

Kompleks antivirus;

Deteksi serangan dan program audit;

Alat untuk manajemen terpusat dari kontrol akses pengguna, serta pertukaran paket data dan pesan yang aman dari aplikasi apa pun melalui jaringan terbuka.

Internet telah lama memiliki sejumlah komite, kebanyakan organisasi relawan, yang secara hati-hati memandu teknologi yang diusulkan melalui proses standardisasi. Komite-komite ini, yang merupakan bagian terbesar dari Internet Engineering Task Force (IETF), telah menstandardisasi beberapa protokol penting, sehingga mempercepat penerapannya di Internet.

Protokol seperti keluarga TCP/IP untuk komunikasi data, SMTP (Simple Mail Transport Protocol) dan POP (Post Office Protocol) untuk email, dan SNMP (Simple Network Management Protocol) untuk manajemen jaringan adalah hasil langsung dari upaya IETF. Jenis produk keamanan yang digunakan tergantung pada kebutuhan perusahaan.

Protokol transmisi data aman yang populer di Internet yaitu SSL, SET, IP v.6. Protokol-protokol yang terdaftar muncul di Internet relatif baru, sebagai kebutuhan untuk melindungi informasi berharga, dan segera menjadi standar de facto.

Sayangnya, di Rusia mereka masih sangat berhati-hati terhadap kemungkinan memperkenalkan Internet ke dalam bidang aktivitas yang terkait dengannya

transfer, pemrosesan dan penyimpanan informasi rahasia. Serupa

Kehati-hatian ini dijelaskan tidak hanya oleh konservatisme struktur keuangan dalam negeri, yang takut akan keterbukaan dan aksesibilitas Internet, namun, sebagian, oleh fakta bahwa sebagian besar perangkat lunak keamanan informasi dari perusahaan manufaktur Barat memasuki pasar kita dengan pembatasan ekspor mengenai algoritma kriptografi yang diterapkan di dalamnya. Misalnya, dalam versi ekspor perangkat lunak untuk server WWW dan browser dari produsen seperti Microsoft dan Netscape Communications, terdapat batasan panjang kunci untuk algoritma enkripsi kunci tunggal dan kunci ganda yang digunakan oleh protokol SSL, yang tidak menyediakan kelengkapan perlindungan saat bekerja di Internet.

Namun, aplikasi e-commerce, selain ancaman internal, juga rentan terhadap ancaman eksternal yang berasal dari Internet. Dan karena tidak masuk akal untuk menetapkan ID login terpisah untuk setiap pengunjung anonim (karena aplikasi tidak berkembang), perusahaan perlu menggunakan jenis otentikasi yang berbeda. Selain itu, perlu mempersiapkan server untuk menangkis serangan. Terakhir, Anda harus sangat berhati-hati dengan data sensitif, seperti nomor kartu kredit.

Enkripsi data

Situs web bisnis memproses informasi sensitif (seperti nomor kartu kredit konsumen). Mengirimkan informasi tersebut melalui Internet tanpa perlindungan apa pun dapat mengakibatkan konsekuensi yang tidak dapat diperbaiki. Siapa pun dapat menguping transmisi dan dengan demikian mendapatkan akses ke informasi rahasia. Oleh karena itu, data harus dienkripsi dan dikirimkan melalui saluran yang aman. Untuk mengimplementasikan transfer data yang aman, protokol Secure Sockets Layer (SSL) digunakan.

Untuk menerapkan fungsi ini, Anda harus membeli sertifikat digital dan menginstalnya di server Anda. Anda dapat mengajukan permohonan sertifikat digital dari salah satu lembaga sertifikasi. Organisasi sertifikasi komersial terkenal meliputi: VerySign, CyberTrust, GTE.

SSL adalah skema untuk protokol seperti HTTP (disebut HTTPS jika aman), FTP, dan NNTP. Saat menggunakan SSL untuk transfer data:

Data dienkripsi;

Koneksi aman telah dibuat antara server sumber dan server tujuan;

Otentikasi server diaktifkan.

Ketika pengguna mengirimkan nomor kartu kredit menggunakan SSL, data tersebut langsung dienkripsi sehingga peretas tidak dapat melihat isinya. SSL tidak bergantung pada protokol jaringan.

Perangkat lunak server Netscape juga menyediakan otentikasi—sertifikat dan tanda tangan digital—yang menyatakan identitas pengguna dan integritas pesan serta memastikan bahwa pesan tidak mengubah rutenya.

Otentikasi melibatkan konfirmasi identitas pengguna dan tanda tangan digital untuk memverifikasi keaslian dokumen yang terlibat dalam pertukaran informasi dan transaksi keuangan. Tanda tangan digital adalah data yang dapat dilampirkan pada suatu dokumen untuk mencegah pemalsuan.

Deteksi gangguan

Sistem Deteksi Intrusi (IDS) dapat mengidentifikasi pola atau jejak serangan dan menghasilkan alarm

memperingatkan operator dan mendorong router untuk mengakhiri koneksi ke sumber intrusi ilegal. Sistem ini juga dapat mencegah upaya yang menyebabkan penolakan layanan.

Uraian pekerjaan

Tujuan dari pekerjaan ini adalah untuk mempelajari konsep e-commerce dan mempertimbangkan masalah keamanan informasi e-commerce.
Tugas:
- mendefinisikan e-niaga;
- mempertimbangkan unsur pokok, jenis, aspek positif dan negatifnya;
- pertimbangkan jenis ancaman utama dan cara utama untuk memastikan keamanan e-commerce.

Keamanan informasi perdagangan elektronik (EC)

Jumlah pengguna Internet telah mencapai beberapa ratus juta dan kualitas baru telah muncul dalam bentuk “ekonomi virtual”. Di dalamnya, pembelian dilakukan melalui situs belanja, menggunakan model bisnis baru, strategi pemasaran mereka sendiri, dll.

Electronic commerce (EC) merupakan kegiatan bisnis penjualan barang melalui internet. Biasanya, ada dua bentuk EC:

* perdagangan antar perusahaan (business to business, B2B);

* perdagangan antara perusahaan dan individu, mis. konsumen (bisnis ke konsumen, B2C).

EC telah memunculkan konsep-konsep baru seperti:

* Toko elektronik – etalase dan sistem perdagangan yang digunakan oleh produsen atau dealer ketika ada permintaan barang.

* Katalog elektronik – dengan berbagai macam produk dari berbagai produsen.

* Lelang elektronik adalah analog dari lelang klasik yang menggunakan teknologi Internet, dengan koneksi khas ke antarmuka multimedia, saluran akses Internet, dan tampilan fitur produk.

* Department store elektronik dianalogikan dengan department store biasa, tempat perusahaan biasa memajang barangnya, dengan merek produk yang efektif (Gostiny Dvor, GUM, dll.).

* Komunitas virtual (komunitas), di mana pembeli diorganisasikan berdasarkan kelompok kepentingan (klub penggemar, asosiasi, dll.).

Internet di bidang EC membawa manfaat yang signifikan:

*penghematan bagi perusahaan swasta besar dari transfer pembelian bahan mentah dan komponen ke pertukaran Internet mencapai 25 - 30%;

* partisipasi dalam lelang pemasok pesaing dari seluruh dunia secara real time menyebabkan penurunan harga yang telah mereka programkan untuk penyediaan barang atau jasa;

* kenaikan harga barang atau jasa sebagai akibat persaingan pembeli dari seluruh dunia;

* penghematan dengan mengurangi jumlah karyawan yang dibutuhkan dan volume dokumen.

Posisi dominan dalam EC di negara-negara Barat adalah sektor B2B, yang pada tahun 2007, menurut berbagai perkiraan, akan mencapai 3 hingga 6 triliun. dolar. Yang pertama memperoleh manfaat dari pengalihan bisnis mereka ke Internet adalah perusahaan yang menjual perangkat keras dan perangkat lunak serta menyediakan layanan komputer dan telekomunikasi.

Setiap toko online mencakup dua toko utama komponen:

etalase elektronik dan sistem perdagangan.

Etalase elektronik berisi informasi tentang barang yang dijual di situs Web, menyediakan akses ke database toko, mendaftarkan pelanggan, bekerja dengan “keranjang” elektronik pembeli, memesan, mengumpulkan informasi pemasaran, dan mengirimkan informasi ke sistem perdagangan.

Sistem perdagangan mengirimkan barang dan memproses pembayarannya. Sistem perdagangan adalah kumpulan toko milik perusahaan berbeda yang menyewa ruang di server Web milik perusahaan terpisah.

Teknologi pengoperasian toko online sebagai berikut:

Pembeli memilih produk yang diinginkan di etalase elektronik dengan katalog barang dan harga (situs Web) dan mengisi formulir dengan data pribadi (nama lengkap, alamat pos dan email, metode pengiriman dan pembayaran pilihan). Jika pembayaran dilakukan melalui Internet, maka perhatian khusus diberikan pada keamanan informasi.

Transfer barang jadi ke sistem perdagangan toko online,

di mana pesanan selesai. Sistem perdagangan beroperasi secara manual atau otomatis. Sistem manual beroperasi sesuai dengan prinsip Posyltorg, ketika tidak mungkin untuk membeli dan menyiapkan sistem otomatis, biasanya ketika volume barang kecil.

Pengiriman dan pembayaran barang. Barang diserahkan kepada pembeli

dengan salah satu cara yang mungkin:

* toko kurir dalam kota dan sekitarnya;

* layanan kurir khusus (termasuk dari luar negeri);

* menjemput;

* informasi spesifik tersebut disampaikan melalui jaringan telekomunikasi

produk sebagai informasi.

Pembayaran barang dapat dilakukan dengan cara sebagai berikut:

* pendahuluan atau pada saat penerimaan barang;

* uang tunai ke kurir atau saat mengunjungi toko sungguhan;

* melalui transfer pos;

* Transaksi bank;

* bayar di tempat;

* menggunakan kartu kredit (VISA, MASTER CARD, dll);

melalui sistem pembayaran elektronik melalui komersial individu

bank (TELEBANK, ASSIST, dll).

Akhir-akhir ini e-commerce atau perdagangan melalui internet berkembang cukup pesat di dunia. Tentu saja, proses ini

dilakukan dengan partisipasi langsung dari lembaga keuangan. Dan metode perdagangan ini menjadi semakin populer, setidaknya ketika pasar elektronik baru dapat digunakan oleh sebagian besar bisnis dan masyarakat.

Aktivitas komersial di jaringan elektronik menghilangkan beberapa batasan fisik. Perusahaan yang menghubungkan sistem komputer mereka ke

Internet, mampu memberikan dukungan kepada pelanggan 24 jam sehari tanpa hari libur dan akhir pekan. Pemesanan produk dapat diterima kapan saja dan dimana saja.

Namun, “koin” ini memiliki sisi lain. Di luar negeri, di mana e-commerce paling berkembang, transaksi atau harga pokok barang sering kali dibatasi hingga $300-400. Hal ini disebabkan belum memadainya solusi terhadap masalah keamanan informasi pada jaringan komputer. Menurut Komite Pencegahan dan Pengendalian Kejahatan PBB, kejahatan komputer telah mencapai tingkat salah satu masalah internasional. Di Amerika Serikat, jenis kegiatan kriminal ini menempati urutan ketiga dalam hal keuntungan setelah perdagangan senjata dan narkoba.

Volume omset e-commerce global melalui Internet pada tahun 2006,

Menurut perkiraan Forrester Tech., jumlahnya bisa berkisar antara 1,8 hingga 2 triliun. dolar. Kisaran perkiraan yang begitu luas ditentukan oleh masalah memastikan keamanan ekonomi e-commerce. Jika tingkat keamanan tetap pada tingkat saat ini, omzet e-commerce global bisa lebih rendah lagi. Oleh karena itu, rendahnya keamanan sistem e-commerce merupakan faktor pembatas dalam pengembangan e-bisnis.

Pemecahan masalah dalam menjamin keamanan ekonomi e-commerce terutama terkait dengan penyelesaian masalah perlindungan teknologi informasi yang digunakan di dalamnya, yaitu menjamin keamanan informasi.

Integrasi proses bisnis ke dalam lingkungan Internet menyebabkan perubahan mendasar dalam situasi keamanan. Penciptaan hak dan tanggung jawab berdasarkan dokumen elektronik memerlukan perlindungan menyeluruh terhadap berbagai ancaman, baik pengirim dokumen maupun penerimanya. Sayangnya, para manajer perusahaan e-commerce menyadari keseriusan ancaman informasi dan pentingnya mengatur perlindungan sumber daya mereka hanya setelah sumber daya tersebut menjadi sasaran serangan informasi. Seperti yang Anda lihat, semua kendala di atas berkaitan dengan bidang keamanan informasi.

Persyaratan dasar untuk melakukan transaksi komersial meliputi kerahasiaan, integritas, otentikasi, otorisasi, jaminan dan kerahasiaan.

Saat mencapai keamanan informasi, memastikan ketersediaan, kerahasiaan, integritas, dan signifikansi hukumnya dasar tugas . Setiap ancaman harus dipertimbangkan dalam kaitannya dengan bagaimana ancaman tersebut dapat mempengaruhi keempat sifat atau kualitas informasi yang aman.

Kerahasiaan berarti bahwa informasi yang dibatasi hanya boleh diakses oleh mereka yang dituju. Di bawah integritas informasi dipahami sebagai properti keberadaannya dalam bentuk yang tidak terdistorsi. Ketersediaan Informasi ditentukan oleh kemampuan sistem untuk menyediakan akses informasi yang tepat waktu dan tanpa hambatan kepada pihak-pihak yang mempunyai kewenangan yang sesuai untuk melakukannya. Signifikansi hukum informasi menjadi hal yang penting akhir-akhir ini, seiring dengan terciptanya kerangka peraturan untuk keamanan informasi di negara kita.

Jika empat persyaratan pertama dapat dipenuhi melalui sarana teknis, maka pemenuhan dua persyaratan terakhir bergantung pada sarana teknis dan tanggung jawab individu dan organisasi, serta kepatuhan terhadap undang-undang yang melindungi konsumen dari kemungkinan penipuan yang dilakukan oleh penjual.

Sebagai bagian dari memastikan keamanan informasi yang komprehensif, pertama-tama, perlu disoroti kuncinya permasalahan di bidang keamanan elektronik bisnis yang termasuk:

perlindungan informasi selama transmisi melalui saluran komunikasi; perlindungan sistem komputer, database dan pengelolaan dokumen elektronik;

memastikan penyimpanan informasi jangka panjang dalam bentuk elektronik; memastikan keamanan transaksi, kerahasiaan informasi komersial, otentikasi, perlindungan kekayaan intelektual, dll.

Ada beberapa jenis ancaman e-commerce:

 Penetrasi ke dalam sistem dari luar.

 Akses tidak sah dalam perusahaan.

 Penyadapan dan pembacaan informasi yang disengaja.

 Gangguan yang disengaja terhadap data atau jaringan.

 Identifikasi yang salah (untuk tujuan penipuan).

pengguna.

 Peretasan perlindungan perangkat lunak dan perangkat keras.

 Akses pengguna tidak sah dari satu jaringan ke jaringan lainnya.

 Serangan virus.

 Penolakan layanan.

 Penipuan keuangan.

Untuk mengatasi ancaman tersebut, digunakan beberapa metode berbasis berbagai teknologi, yaitu: enkripsi - pengkodean data yang mencegahnya dibaca atau terdistorsi; tanda tangan digital yang memverifikasi identitas pengirim dan penerima; teknologi siluman menggunakan kunci elektronik; firewall; jaringan virtual dan pribadi.

Tidak ada metode perlindungan yang bersifat universal; misalnya, firewall tidak memeriksa virus dan tidak dapat memastikan integritas data. Tidak ada cara yang benar-benar mudah untuk melawan peretasan perlindungan otomatis, dan hanya masalah waktu saja sebelum perlindungan tersebut diretas. Namun waktu yang diperlukan untuk merusak perlindungan tersebut, pada gilirannya, bergantung pada kualitasnya. Harus dikatakan bahwa perangkat lunak dan perangkat keras untuk melindungi koneksi dan aplikasi di Internet telah dikembangkan sejak lama, meskipun teknologi baru yang diperkenalkan agak tidak merata.

Yang ancaman sedang menunggu perusahaan e-commerce di setiap tahap :

 penggantian halaman web server toko elektronik (pengalihan permintaan ke server lain), membuat informasi tentang klien, terutama tentang kartu kreditnya, tersedia untuk pihak ketiga;

 pembuatan perintah palsu dan berbagai bentuk penipuan oleh karyawan toko elektronik, misalnya manipulasi database (statistik menunjukkan bahwa lebih dari separuh insiden komputer terkait dengan aktivitas karyawan mereka sendiri);

 intersepsi data yang dikirimkan melalui jaringan e-commerce;

 penetrasi penyerang ke dalam jaringan internal perusahaan dan penyusupan komponen toko elektronik;